Главные новости Политика Экономика Общество Культура Спорт Происшествия На заметку Арктический форум Цифра дня Бизнес новости TV-BOX
ТОП 7 читаемые|обсуждаемые
Бизнес новости
Дополнительный функционал
Дополнительные возможности для пользователей ресурса
УФНС по Архангельской области
Текущая задолженность перед бюджетом в режиме on-line
Минздрав Архангельской области
Запись к врачам-специалистам медучреждений города и области
Архангельская городская Дума
Интерактивная связь с депутатами Архангельской городской Думы
ЖКХ Архангельской области
Информация о финансово-хозяйственной деятельности УК и ТСЖ
Отдых в Архангельской области
Где остановиться, как отдохнуть, что посмотреть
Общество | Главные новости

Обнаружена иностранная хакерская группировка, шпионившая за российским ведомством

07.03.24 10:25
1280 0
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома» в сфере информационной безопасности) обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти.
 >
Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления – скомпрометированные серверы организаций в разных странах. Группировка существует как минимум три года, но данных для точной ее аттрибуции пока недостаточно, поэтому кластер этой активности временно назван NGC2180. К настоящему моменту все обнаруженное вредоносное ПО обезврежено, затронутые системы вернулись в работу.
 
В конце 2023 года специалисты Solar 4RAYS проводили комплексный анализ инфраструктуры одного из российских ведомств, оперирующих критичными данными. В ходе работ на одном из компьютеров были найдены признаки взлома.  Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО), названного экспертами DFKRAT. На финальной стадии развития атаки вредонос разворачивает имплант, предоставляющий злоумышленнику широкие возможности манипуляций в атакуемой системе (от хищения пользовательских данных до загрузки дополнительного ВПО).

Обнаруженная версия вредоноса ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года. С каждой новой версией ВПО становилось более сложным. В частности, в последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой) и отказались от поэтапной передачи команд с сервера управления на целевую систему. Такие действия разработчиков ВПО говорят о попытках скрыть вредоносную активность от средств защиты на конечном хосте.

Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начиненного загрузчиком. В последней атаке вектор заражения остался неизвестным.

«Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии.

Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции», — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

Активность NGC2180 на протяжении минимум последних трех лет говорит о высокой организованности кибергруппировки. А компрометация легитимных серверов для развертывания инфраструктуры С2, а также нацеленность NGC2180 на значимые государственные структуры указывают на системный подход и возможную политическую мотивацию группы.

«На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует еще больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась – неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180, поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведенными в нашем исследовании, для выявления следов присутствия данной группировки», — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.
Есть о чём рассказать? Пиши: info@news29.ru
Главные новости | Лента новостей Все новости
Общество | Новости раздела